入侵檢測(cè)產(chǎn)品的應(yīng)用已經(jīng)逐漸深入廣大的互聯(lián)網(wǎng)企業(yè)中，然而對(duì)于入侵檢測(cè)系統(tǒng)漏洞攻擊檢測(cè)的能力作出正確的評(píng)價(jià)是測(cè)試一款I(lǐng)DS安全產(chǎn)品性能的必要指標(biāo)。本篇文章就淺談，如何設(shè)計(jì)并實(shí)現(xiàn)評(píng)價(jià)IDS漏洞攻擊檢測(cè)覆蓋面指標(biāo)。

漏洞攻擊檢測(cè)指標(biāo)的設(shè)計(jì)

1.1 CVE漏洞條目數(shù)量指標(biāo)

最簡(jiǎn)單的方案是顯而易見(jiàn)的，通過(guò)統(tǒng)計(jì)IDS/IPS所能檢測(cè)的利用漏洞攻擊種數(shù)來(lái)進(jìn)行比較。目前多數(shù)主流的IDS/IPS產(chǎn)品都提供了CVE名的支持，每個(gè)CVE名對(duì)應(yīng)一個(gè)獨(dú)立的安全漏洞，雖然CVE名字表不可能包含所有的已知安全漏洞，但至少包括了其中的大多數(shù)重要條目。因此通過(guò)統(tǒng)計(jì)產(chǎn)品相關(guān)的CVE條目數(shù)量可以大致了解IDS/IPS的漏洞攻擊檢測(cè)覆蓋面。我們最原始的評(píng)價(jià)指標(biāo)可以是產(chǎn)品相關(guān)的CVE漏洞條目個(gè)數(shù)。

1.2 CVSS漏洞威脅評(píng)分修正

上面的漏洞數(shù)量指標(biāo)存在一個(gè)問(wèn)題，因?yàn)樗僭O(shè)了每個(gè)漏洞有相同的威脅級(jí)別，而事實(shí)情況并非如此，因此我們?cè)谠u(píng)價(jià)過(guò)程中必須考慮漏洞本身的威脅等級(jí)。感謝CVSS漏洞威脅評(píng)分項(xiàng)目的工作成果，它為每個(gè)CVE漏洞條目按威脅程度的高低打了分，最高威脅級(jí)別的漏洞為10分，從NVD的網(wǎng)站上可以輕易地獲取漏洞基本威脅評(píng)分的數(shù)據(jù)。由此，我們的指標(biāo)可以修正為產(chǎn)品涉及到的CVE漏洞條目的CVSS評(píng)分的總和。

1.3 時(shí)間因素上的修正

考慮了漏洞威脅級(jí)別的高低，無(wú)疑使我們的指標(biāo)更具準(zhǔn)確性和可比較性，但上面的指標(biāo)還是有可以改進(jìn)的地方。在這里我們需要引入時(shí)間因素，因?yàn)楫?dāng)漏洞被披露以后，隨著時(shí)間的推移，由于軟件新版本的更新，有意或無(wú)意的漏洞修補(bǔ)，存在漏洞的系統(tǒng)越來(lái)越少，相對(duì)來(lái)說(shuō)漏洞的威脅呈現(xiàn)一個(gè)越來(lái)越小的趨勢(shì)，也就是說(shuō)，同樣CVSS威脅基本評(píng)分為8的2000年與2006年的漏洞在2006年評(píng)價(jià)時(shí)現(xiàn)實(shí)的威脅程度是很不一樣的。

其實(shí)，CVSS漏洞威脅評(píng)分系統(tǒng)的設(shè)計(jì)考慮了威脅評(píng)分隨時(shí)間及布署狀況的修正，一個(gè)漏洞的CVSS威脅評(píng)分涉及三個(gè)層次：基本評(píng)分、生命周期因素修正、環(huán)境因素修正?；驹u(píng)分是根據(jù)漏洞本身固有特性所可能造成的影響評(píng)價(jià)得到的分值，生命周期因素修正就是基于時(shí)間進(jìn)程的修正，環(huán)境因素即是基于布署情況的修正。NVD提供了CVE條目的基本評(píng)分，環(huán)境因素取決于組織受漏洞影響產(chǎn)品布署狀況，生命周期因素修正需要跟蹤每個(gè)漏洞的補(bǔ)丁發(fā)布情況，工作量巨大，一個(gè)單獨(dú)的組織是無(wú)法完成的，因此NVD也未給出相應(yīng)的數(shù)據(jù)。

對(duì)于我們的評(píng)價(jià)指標(biāo)，我們簡(jiǎn)單地采用一個(gè)極粗糙的威脅隨年數(shù)增加線性遞減的算法：

漏洞的當(dāng)前威脅評(píng)分 = CVSS基本評(píng)分* (8-(2006-漏洞發(fā)布的年))/8

這樣一個(gè)線性算法與事實(shí)情況并不一致，事實(shí)情況是漏洞在公布的一兩年內(nèi)威脅程度迅速下降，之后幾年內(nèi)的下降則非常的小，所以，基本上線性遞減只是一個(gè)聊勝于無(wú)的計(jì)算方法，考慮到每個(gè)漏洞的情況并不那么一致而且指標(biāo)只用于作相對(duì)的比較，這樣的算法也是可接受的。

到此評(píng)價(jià)指標(biāo)修正為所有CVE相關(guān)的漏洞當(dāng)前威脅評(píng)分的總和。

如何操作及幾個(gè)常見(jiàn)產(chǎn)品的漏洞攻擊檢測(cè)指標(biāo)分析

2.1 獲取每個(gè)CVE條目對(duì)應(yīng)的CVSS評(píng)分

從NVD網(wǎng)站下載CVE評(píng)分?jǐn)?shù)據(jù)文件，文件為XML格式，每年一個(gè)單獨(dú)的文件，它包含了每個(gè)CVE條目的詳細(xì)信息，使用所附的 extract-cve-score.pl 腳本將其中CVE名和相應(yīng)的CVSS評(píng)分提取出來(lái)，把打印出來(lái)的數(shù)據(jù)重定向的文件中，并將多年的數(shù)據(jù)整合到一個(gè)文件中，這個(gè)即是我們以后會(huì)使用到的CVE名和對(duì)應(yīng)CVSS評(píng)分的對(duì)照表。

2.2 獲取評(píng)測(cè)產(chǎn)品的涉及到的CVE條目信息

以幾個(gè)能從公開(kāi)渠道獲取信息的IDS產(chǎn)品為例：

Snort

-----

Snort的規(guī)則信息索引文件(sid-msg.map)中每個(gè)與CVE漏洞相關(guān)的檢測(cè)都列出了相應(yīng)的CVE名，我們只要使用類似 extract-snort-cve.pl 的簡(jiǎn)單腳本將其提取出來(lái)即可。

RealSecure 7

------------

RealSecure 7的每個(gè)檢測(cè)模塊升級(jí)包文件中包含了一個(gè)名為 issues.csv 的索引文件，文件中并不直接包含每個(gè)檢測(cè)條目對(duì)應(yīng)的CVE名信息，但包含了對(duì)應(yīng)于ISS網(wǎng)站上詳細(xì)說(shuō)明信息的ID號(hào)，在詳細(xì)說(shuō)明中包含有CVE名。

處理這種情況稍稍復(fù)雜一些，我們必須把檢測(cè)條目相關(guān)的詳細(xì)信息從網(wǎng)站上下載回來(lái)，這可以通過(guò) get-iss-content.pl 腳本實(shí)現(xiàn)，它讀取 issues.csv 文件中的檢測(cè)條目ID號(hào)從ISS的網(wǎng)站下載每個(gè)條目的詳細(xì)信息，每個(gè)條目一個(gè)文件，然后用 extract-iss-cve.pl 腳本提取檢測(cè)條目涉及到的CVE名。

IDP

---

IDP的規(guī)則文件是可公開(kāi)下載的，也未做加密，規(guī)則文件中包含了涉及到CVE名信息，與處理Snort規(guī)則索引文件類型，使用類似 extract-idp-cve.pl 的腳本將其提取出來(lái)。

對(duì)于其他產(chǎn)品一般通過(guò)分析其檢測(cè)條目詳細(xì)信息說(shuō)明文檔，都應(yīng)該是可以得到相關(guān)的CVE條目信息的。

2.3 計(jì)算漏洞覆蓋面的評(píng)分指標(biāo)

有了CVE名到相應(yīng)CVSS評(píng)分的對(duì)應(yīng)表和產(chǎn)品涉及到的CVE名，使用 caculate-score.pl 腳本即可得到評(píng)分。

上述幾個(gè)產(chǎn)品的分析結(jié)果比較：

CVE條目數(shù) 總威脅得分 CVE條目平均CVSS評(píng)分 時(shí)間因素修正后的總威脅得分RealSecure 7 979 6000.7 6.1 2694.3

Snort 550 3454.3 6.3 1476.9

IDP 311 1947.3 6.3 796.6

由以上的數(shù)據(jù)，產(chǎn)品相關(guān)漏洞覆蓋面的高下就很明顯了。

結(jié)論

事實(shí)上，由于威脅得分的計(jì)算是面向漏洞的，因此所有以漏洞處理為核心的安全產(chǎn)品比如漏洞數(shù)據(jù)庫(kù)、安全評(píng)估、入侵檢測(cè)類產(chǎn)品都，可以用計(jì)算“時(shí)間因素修正后的總威脅得分”指標(biāo)的方法來(lái)評(píng)價(jià)漏洞攻擊檢測(cè)指標(biāo)。
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)